miércoles, 8 de junio de 2011

Nuevo host en vlan - Cisco

Mi recomendación de como dar de alta un host en una vlan
 
Para dar de alta hosts en los puertos del switch y asociarlos a un vlan lo que primero necesitamos es localizar en que puerto está conectado el host a asociar.

Para buscar en que puerto donde está conectado necesitamos saber la mac-address del host. Con la mac-address podemos localiza el puerto através del comando “show mac address-table”. 

Con este comando nos puede salir un listado difícil de seguir, nos ayudaría añadirle “ | include  y_su_mac_address”, como por ejemplo:

CPA1SW01#sho mac address-table | include  0025.649b.b604
   1    0025.549b.bu04    DYNAMIC     Fa1/0/12


Para ver el rango de ip’s que pertence cada vlan, la configuración de Nivel 3:

CPA1SW01#show running-config

“…
!
interface Vlan11
 ip address 10.1.11.1 255.255.255.0
!
interface Vlan12
 ip address 10.1.12.1 255.255.255.0
!
interface Vlan14
 ip address 10.1.14.1 255.255.255.0
!
interface Vlan20
 ip address 172.101.20.254 255.255.255.0
!
interface Vlan30
 ip address 172.101.30.254 255.255.254.0
!
interface Vlan40
 ip address 172.101.40.254 255.255.255.0
!
interface Vlan50
 ip address 10.1.50.1 255.255.255.0
…”


Para ver la configuración a nivel 2 de vlan: el nombre de la vlan, su número id, su estado y los puertos asociados de vlan:

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
3    DeptVentas                       active    Fa2/0/43, Fa2/0/44
4    DMZ                              active
7    Heartbeat                        active
10   DeptCompras                      active    Fa1/0/23, Fa1/0/38, Fa2/0/26
11   Fabrica                          active    Fa1/0/4, Fa1/0/6, Fa1/0/10
                                                Fa1/0/19, Fa1/0/27, Fa1/0/32
                                                Fa1/0/37, Fa1/0/39, Fa1/0/40
                                                Fa2/0/24


Ya solo queda asignar el puerto a la Vlan

Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#interface fastEthernet 0/2
Switch(config)#switchport mode access
Switch(config)#switchport access vlan 10
Switch(config)#shutdown
Switch(config)#no shutdown

Una configuración de usuario mas tuneada podría ser




Otra manera un poco mas avanzada:



default interface Fa0/
interface Fa0/
 description C00_PC_FAB
 switchport access vlan 13
 switchport mode access
 switchport port-security
 no logging event link-status
 no snmp trap link-status
 storm-control broadcast level 4.00
 spanning-tree portfast
 spanning-tree bpduguard enable
 shutdown
 no shutdown
!


Para que no nos avise cuando se apaga y enciende un host.



Con lo anterior al detectar 2 direcciones mac el puerto se bloquearía, se puede dar el caso que queramos poner un telefono IP y colgado de él un PC, en principio con poner lo siguiente tendríamos suficiente

interface GigabitEthernet1/0/10

 description TelIP y PC
 switchport access vlan 100
 switchport mode access
 switchport voice vlan 10
 no logging event link-status
 no snmp trap link-status
 storm-control broadcast level 4.00
 spanning-tree portfast
 spanning-tree bpduguard enable
!

Pero hay switches que bloquearían el puerto, así que para asegurar que van a pasar dos direcciones Mac habría que añadir:

 switchport port-security maximum 2



Si queremos seguir aumentando la complejidad podemos añadir lo siguiente:

interface FastEthernet1/0/10
 description PC001
 switchport access vlan 100
 switchport mode access
 switchport voice vlan 10
 no logging event link-status
 no snmp trap link-status
 storm-control broadcast level 4.00
 spanning-tree portfast
 spanning-tree bpduguard enable
 switchport nonegotiate
 switchport port-security
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 no snmp trap link-status
 auto qos voip trust
 no cdp enable
 spanning-tree portfast
 spanning-tree bpdufilter enable


El "no cdp enable" Cisco recomienda quitarlo pero yo prefiero ponerlo porque puede ser de gran ayuda a la hora de averiguar que hay en nuestra red.

Con el " switchport port-security mac-address sticky" memorizará las dos primeras MacAddress que pongamos y bloqueará el puerto si no es ninguna de esas.

Para complimentar un poco más este artículo sería recomendable leer el link :
http://gonsystem.blogspot.com/2011/06/vlans-basico-cisco.html


Gon Rev3 Ene2016

No hay comentarios: